Gestion des utilisateurs, groupes et droits
OVIDENTIA supporte une authentification des utilisateurs (ou seulement de certains) pouvant s'appuyer sur un annuaire LDAP ou Active Directory ou sur une base de données utilisateurs géré en interne dans le portail.
Des scripts de synchronisation permettent d'interfacer ces annuaires externes avec les bases d'utilisateurs et de groupes d'utilisateurs d'OVIDENTIA.
La gestion des droits d'accès dans OVIDENTIA est basée sur la notion de Groupes d'Utilisateurs.
Chaque utilisateur peut faire partie de plusieurs groupes.
Les groupes peuvent être organisés sous forme de hiérarchie :
Pour chaque « objet » du portail (rubrique, répertoire de fichiers, forum, FAQ, agenda, ...), la gestion des droits d'accès permet de spécifier quel(s) groupe(s) peut telle ou telle action sur l'objet : visualiser, modifier, gérer, ...
Définition des rôles et gestion des droits utilisateurs
Les rôles assumés par les utilisateurs du portail sont fonction des droits d'accès qui leurs sont conférés.
Un utilisateur peut cumuler plusieurs rôles : il peut être administrateur d'un site ou d'un sous-site et simple utilisateur dans un autre site ou sous-site. En réalité, cette notion de rôle peut être attribuée au niveau de chaque objet du portail : rédacteur dans une rubrique, validateur dans une autre et simple utilisateur pour une troisième.
Il est possible d'identifier les rôles suivant au sein d'un portail OVIDENTIA :
- Administrateur : il dispose de l'ensemble des droits d'administration pour un site donné et peut notamment créer d'autres sites (dans un contexte multi-sites) ou des délégations d'administration
- Administrateur délégué : il dispose des droits d'administration spécifiés par un Administrateur
- Validateur : utilisateur mentionné (nominativement ou via une fonction qu'il assume dans un organigramme) dans un schéma (Workflow) d'approbation
- Rédacteur : utilisateur membre d'un groupe mentionné comme pouvant proposer des articles dans au moins une rubrique ou une FAQ, ...
- Utilisateur : tout utilisateur disposant des droits de consultation sur les contenus (articles, FAQs, fichiers, ...)
Granularité des permissions
Les droits d'accès sont attribués au niveau de chaque objet (rubrique d'articles, forum, FAQ, répertoire de fichiers, ...) par des ACLs (Access Control Lists) permettant de stipuler quels sont les groupes qui peuvent consulter, mettre à jour, gérer, ... l'objet.
Un utilisateur peut faire partie de plusieurs groupes.
Un groupe peut ne contenir qu'un utilisateur.
Pour chaque droit, les ACLs permettent de mentionner plusieurs groupe.
Les groupes peuvent être sélectionnés individuellement ou hiérarchiquement dans l'arborescence de groupes. Dans ce cas, les droits sont attribués au groupe mentionné ainsi qu'à tous les groupes sous-jacents dans l'arborescence.
Dans l'exemple ci-dessus qui présente l'ACL associée à la rubrique d'articles « Les dernières infos », les cases à cocher de droite permettent de sélectionner individuellement chaque groupe (exemple 1 : groupe DRH).
Les cases de gauche permettent elles de sélectionner un groupe et tous les groupes sous-jacents (exemple 2 : groupe Communication et ses enfants, en l'occurence le groupe Site Web).